O modo de túnel IPSec é utilizado principalmente para fins de interoperabilidade com routers, gateways ou sistemas finais que não suportem os túneis VPN L2TP (Layer Two Tunneling Protocol)/IPsec (Internet Protocol security) ou o L2TP (Layer Two Tunneling Protocol). O modo de túnel IPsec é suportado apenas em cenários de túneis gateway a gateway e para determinadas configurações servidor a servidor ou servidor a gateway. O modo de túnel IPSec não é suportado para cenários VPN de acesso remoto. O L2TP/IPsec ou o PPTP devem ser utilizados para ligações VPN de acesso remoto.
Um túnel IPsec tem de ser definido em ambas as extremidades da ligação. Em cada extremidade, as entradas para o computador de túnel local e o computador de túnel remoto têm de ser trocadas (porque o computador local numa das extremidades do túnel é o computador remoto na outro, e vice-versa).
Utilize o Firewall do Windows com segurança avançada para executar túneis de Camada 3 para cenários que não permitem a utilização do L2TP. Se estiver a utilizar o L2TP para comunicações remotas, não será necessária qualquer configuração de túnel IPsec, dado que os componentes VPN de cliente e servidor desta versão do Windows criam automaticamente as regras para proteger o tráfego L2TP.
Utilize esta página de assistente para configurar o tipo de túnel IPsec que pretende criar. Um túnel IPsec é normalmente utilizado para ligar uma rede privada atrás de um gateway a um cliente remoto ou um gateway remoto com outra rede privada. O modo de túnel IPsec protege um pacote de dados encapsulando todo o pacote de dados dentro de um pacote protegido por IPsec e encaminhando o pacote protegido por IPsec para os pontos finais de túnel. Quando chega ao ponto final de destino, o pacote de dados é extraído e, em seguida, encaminhado para o destino final.
 | Para aceder a esta página do assistente |
No snap-in Firewall do Windows com segurança avançada da MMC, clique com o botão direito do rato em Regras de Segurança de Ligação e clique em Nova Regra.
Na página Tipo de Regra, seleccione Túnel.
Em Passos, seleccione Tipo de Túnel.
Configuração Personalizada
Seleccione esta opção para activar todas as opções de configuração de pontos finais na página Pontos finais de Túnel - Configuração Personalizada. É possível especificar os endereços IP dos computadores que servem como pontos finais de túnel e dos computadores localizados em redes privadas atrás de cada ponto final de túnel. Para mais informações, consulte Assistente de Regras de Segurança de Ligação: Página de Pontos finais de Túnel - Configuração Personalizada.
Cliente para gateway
Seleccione esta opção se pretende criar uma regra para um computador cliente que tem de ser ligado a um gateway remoto e aos computadores atrás do gateway numa rede privada.
Quando um cliente enviar um pacote de rede para um computador na rede privada remota, o IPsec incorpora o pacote de dados num pacote IPsec endereçado ao gateway remoto. O gateway extrai o pacote e encaminha-o na rede privada para o computador de destino.
Se seleccionar esta opção, apenas será possível configurar o endereço IP público do gateway e os endereços IP dos computadores na rede privada. Para mais informações, consulte Assistente de Regras de Segurança de Ligação: Página Pontos Finais de Túnel - Cliente para Gateway.
Gateway para cliente
Seleccione esta opção se pretender criar uma regra para um gateway anexado a uma rede privada e a uma rede pública, das quais recebe tráfego de rede de clientes remotos.
Quando um cliente enviar um pacote de rede para um computador na rede privada, o IPsec incorpora o pacote de dados num pacote IPsec endereçado ao IP público do gateway. Quando o gateway recebe o pacote, extrai o pacote e encaminha-o na rede privada para o computador de destino.
Quando um computador na rede privada remota necessita de responder ao computador cliente, o pacote de dados é encaminhado para o gateway. O gateway incorpora o pacote de dados num pacote IPsec endereçado ao computador cliente remoto e, em seguida, encaminha o pacote IPsec através da rede pública para o computador cliente remoto.
Se seleccionar esta opção, apenas será possível configurar os endereços dos computadores na rede privada e o endereço IP público do gateway. Para mais informações, consulte Assistente de Regras de Segurança de Ligação: Página de Pontos finais de Túnel - Gateway para Cliente.
Isentar ligações protegidas por IPsec
Por vezes, um pacote de rede poderá corresponder a mais do que uma regra de segurança de ligação. Se uma das regras estabelecer um túnel IPsec, poderá especificar se pretende utilizar o túnel ou enviar o pacote por fora do túnel protegido pela outra regra.
Sim
Seleccione esta opção se a ligação já está protegida por outra regra de segurança de ligação e se pretende que o pacote de rede não seja enviado pelo túnel IPsec. Qualquer tráfego de rede protegido pelo protocolo ESP (Encapsulating Security Payload), incluindo o ESP Null, está impedido de atravessar o túnel.
Não
Seleccione esta opção se pretende que todos os pacotes correspondentes à regra do túnel passem pelo túnel, mesmo estando protegidos por outra regra de segurança de ligação.